Heartbleed: Diese eBook-Anbieter sind betroffen
Die "Heartbleed"-Sicherheitslücke macht seit Tagen Schlagzeilen, Millionen Datensätze lagen ungeschützt im Netz. Wir haben bei den großen deutschen eBook-Händlern nachgefragt, ob ihre Nutzer sich Sorgen machen beziehungsweise ihre Passwörter ändern müssen.
"Heartbleed" – was genau ist das Problem?
Die Ursache für den "Heartbleed"-Fehler ist banal: Um zu testen, ob eine sichere Verbindung noch besteht, können Programme regelmäßig ein kurzes Datenpaket (einen sogenannten "Heartbeat", daher der Name der Sicherheitslücke) an einen Server schicken. Der schickt dann dieselben Daten zurück und signalisiert damit, das alles in Ordnung ist.
Das Problem: Das Programm sagt dem Server, wie lang dieses Testpaket ist – und dabei kann es lügen. Schickt es etwa ein Paket von nur 4 Byte, behauptet aber, es sei 64000 Byte lang, verlässt sich der Server auf diese Behauptung statt die Länge selbst nachzuprüfen Er schickt als Antwort auf die 4 Byte tatsächlich ein 64000-Byte-Paket zurück. Dabei wird der zusätzliche Platz mit all dem aufgefüllt, was sich zufällig gerade hinter der Stelle im Speicher befindet, an der er das 4-Byte-Passwort abgelegt hat. Und das können, unter Umständen, hochsensible Daten beliebiger anderer Nutzer des Systems sein. Weil Computer ihre Speicherbelegung ständig umorganisieren, liefern wiederholte Angriffe immer neue Daten. Zwei Webcomics von xkcd illustrieren sehr schön die Angriffsmethode und potenzielle Folgen.
Wann sollte man sein Passwort ändern?
Zunächst einmal, wenn man ein Konto bei einer betroffenen Webseite hat. Da OpenSSL, die Software, in der der Fehler auftrat, auf hunderttausenden Servern eingesetzt wird, ist dies sehr wahrscheinlich. Allerdings ist das neue Passwort nur dann wirklich sicher, wenn der Anbieter bereits das Update von OpenSSL eingespielt hat, das den Fehler korrigiert – ansonsten könnte das Kennwort wieder auf die gleiche Art ausgelesen werden.
Welche eBook-Anbieter sind betroffen?
Am sichersten ist es natürlich, jedes Passwort zu ändern – das können jedoch unter Umständen ganz schön viele sein. Insofern kann es sich lohnen, Prioritäten zu setzen. Wir haben im Netz recherchiert und zum Teil selbst nachgefragt, um in Erfahrung zu bringen, bei welchen eBook-Anbietern Datenklau via Heartbleed potenziell möglich war:
- Adobe: Aktuell ist adobe.com nicht von der Sicherheitslücke betroffen. Allerdings ist nicht genau bekannt, ob dies zuvor der Fall war. Adobes deutsche PR-Agentur teilte uns mit, dass dies derzeit (15. April 2014) geprüft werde. Um sicherzugehen, empfehlen wir daher, das Passwort der eigenen Adobe ID vorsichtshalber zu ändern (mal wieder).
- Amazon: Medienberichten zufolge sind Amazons Kundenkonten (also Shop- und Kindle-Nutzer) nicht betroffen. Website-Betreiber, die Amazons Web Services nutzen, sollten jedoch entsprechende Maßnahmen ergreifen, um ihre angebotenen Dienste sicher zu machen.
- Apple iBooks: Nach Apples Angaben sind keine wichtigen Apple-eigenen Dienste vom Heartbleed-Bug betroffen. Passwortänderungen seien nicht erforderlich.
- buch.de: Eine Sprecherin der buch.de Internetstores AG teilte uns mit, dass alle Shops des Unternehmens die OpenSSL-Software nutzen. Dies schließt thalia.de und thalia.at ebenso ein wie buch.de, bol.de und alphamusic.de. Die Systeme seien direkt nach Bekanntwerden des Bugs auf eine nicht mehr anfällige Version aktualisiert worden. Wir empfehlen daher den Nutzern der angegebenen Shops oder der eBook Reader, ihr Passwort zu ändern.
- ebook.de: Noch keine Angaben
- Hugendubel: Nach Aussage der Pressestelle war Hugendubel nicht vom Heartbleed-Bug betroffen. Es sei daher nicht nötig, das Passwort zu ändern.
- Kobo: Noch keine Angaben
- Sony Reader Store: Noch keine Angaben
- Thalia: Betroffen im Rahmen der buch.de-Server. (siehe dort) Passwort sollte geändert werden.
- Weltbild: Nach Angaben der Presseabteilung waren die Server von Weltbild.de nicht betroffen.
(Liste wird nach Kenntnisstand aktualisiert)
<Bildnachweis: Heartbleed-Logo von heartbleed.com>
Kommentare
Sicherheitslücke “Heartbleed” – auch viele E-Book-Anbieter sind betroffen | OnleiheVerbundHessen 19. April 2014 um 17:12
[…] Seit Tagen beunruhigt uns die festgestellte Sicherheitslücke “Heartbleed”, durch die Millionen sensibler Daten ungeschützt im Internet lagen. Auch viele E-Book-Anbieter sind von den Folgen betroffen. Welche dies sind und was Sie ihren Nutzerinnen und Nutzern raten, erfahren Sie hier. […]